域控制器的物理安全
第一步(也是常常被忽视的一步)就是要保障你的域控制器的物理安全。也就是说,你应该将服务器放在一间带锁的房间,并且严格的审核和记录该房间的访问情况。不要有“隐蔽起来就具有很好的安全性”这样的观点,错误地认为将这样一台关键的服务器放在一个偏僻的地方而不加以任何保护,就可以抵御那些顽固的数据间谍和破坏分子的攻击。
因为专门从事犯罪预防研究的警察告诉我们,我们是没有办法使自己的家,公司,汽车,当然也包括我们的服务器具有百分之百的安全性。安全措施并不能保证您的贵重物品不被那些“坏人”拿到,它只能增加他们获取贵重物品的难度和困难度。如果您能让他们的攻击过程持续更长的时间,那么他们放弃攻击或停止尝试,甚至将他们当场抓住的可能性都会大大增加。
物理安全之后,就应该部署多层防御计划。带锁的服务器间只是第一层。这只能被认为是周边安全,就像您院子周边的篱笆或者您家房门的锁。万一周边安全被突破,就应该为保护目标(此时即DC)进一步设置一些安全措施以保护它们。您可能会安装安全警报系统,以便当您的篱笆或者门锁遭到破坏的时候,通知您或者警察。同样,您应该考虑在服务器间部署警报系统,当未授权用户(他不知道解除警报系统的密码)进入服务器间的时候,它就发出声音警报。另外还可以考虑在门上安装探测器,以及红外探测器以防止通过门、窗及其他孔洞(我们强烈建议,尽可能得减少门、窗及孔洞的数量)的非法进入。
当您从里至外的部署你的多层安全计划时,您应该反复问自己一个问题“如果这个安全措施失效了怎么办?我们可以在入侵者的攻击线路上部署哪些新的障碍?”就像您将自己的金钱和珠宝放在一个有篱笆的,带锁的,有警报系统保护的房间中,您也应该考虑服务器自身的安全。下面有一些准则:
移除所有的可移动存储设备驱动器,如软驱、光驱、外置硬盘、Zip驱动器、闪存驱动器等。这将增加入侵者向服务器上传程序(如病毒)或下载数据的难度。如果您不使用这些设备,您也可以移除这些外部设备需要使用的端口(从BIOS中关闭或物理移除)。这些端口包括USB/IEEE 1394、串口、并口、SCSI接口等。
将机箱锁好,以防止未授权用户盗窃硬盘,或损坏机器组件。
将服务器放在密闭带锁的服务器机架中(确保提供良好的通风设备),电源设备最好也能设置在服务器机架中。以避免入侵者能够方便的切断电源或UPS从而干扰系统的电力供应。
防止域控制器的远程入侵
如果您认为您的物理安全计划已经足够完美,那么您就要将您的注意力转移到防止黑客、骇客和攻击者通过网络访问您的域控制器。当然,“最好的”方法是将域控制器从网络中断开,但是这样,域控制器也就毫无用处了。因此,您要通过一些步骤,加固它们,以抵御一般的攻击方法。
保障域账号的安全
最简单的(对于黑客来说),最让人意想不到的,也是最常用的方法就是通过一个合法的账号密码,登陆系统,以获得网络和域控制器的访问权限。
在一个典型的安装中,黑客如想登陆系统,只需要两个东西:一个合法账号,以及它对应的密码。如果您仍使用的是默认的管理员账号——Administrator,这将使黑客的入侵容易很多。他需要做的只是收集一些信息。与其他账号不同,这个默认的管理员账号,不会因为多次失败登陆而被锁定。这也就意味着,黑客只要不停的猜测密码(通过“暴力破解”的方法破解密码),直到他拿到管理员权限。
这就是为什么您应该做的第一件事就是把免费xp系统下载内置账号改名。当然,如果您只是改名而忘记修改默认的描述(“计算机/域的内置管理账号”)也没有什么意义。所以您要避免入侵者快速的找出拥有管理员权限的账号。当然,请记住,您所做的措施都只能减慢入侵者。一个坚定的、有能力的黑客还是能够绕过您的安全措施的(例如,管理员账号的SID是不能更改的,它通常是以500结尾的。有一些黑客可以利用工具SID号来辨别出管理员的账号)。
2814
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
